• 산업융합연구
• /
• 제20권5호
• /
• pp.61-68
• /
• 2022

최근에는 발전하는 정보통신 기술을 이용하여 악의적인 코드들이 제작되고 있고 이를 기존 탐지 시스템으로는 탐지하는게 역부족인 실정이다. 이러한 지능적이고 악의적인 코드를 정확하고 효율성 있게 탐지하고 대응하기 위해서는 지능적 탐지 모델이 필요하다. 그리고, 탐지 성능을 최대로 높이기 위해서는 악의적인 코드의 주요 특징 정보 집합으로 훈련하는 것이 중요하다. 본 논문에서는 지능적 탐지 모델을 설계하고 모델 훈련에 필요한 데이터를 변환, 차원축소, 특징 선택 단계를 거쳐 주요 특징 정보 집합으로 생성하는 기법을 제안하였다. 그리고 이를 기반으로 악의적인 코드별로 주요 특징 정보를 분류하였다. 또한, 분류된 특징 정보들을 기반으로 변형되거나 새로 등장하는 악의적인 코드를 분석하고 탐지하는데 사용할 수 있는 공통 특징 정보를 도출하였다. 제안된 탐지 모델은 제한된 수의 특성 정보로 학습하여 악의적인 코드를 탐지하기에 탐지 시간과 대응이 빨리 이루어져 피해를 크게 줄일 수 있다. 그리고, 성능 평가 결과값은 학습 알고리즘에 따라 약간 차이가 나지만 악의적인 코드 대부분을 탐지할 수 있음을 평가로 알 수 있었다.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.65-72
• /
• 2023

본 논문에서는 LSTM(Long Short-Term Memory)을 기반으로 하는 Deep Learning 모델을 구축하여 인간의 습관적 특성을 고려한 악성 도메인 탐지 방법을 제시한다. DGA(Domain Generation Algorithm) 악성 도메인은 인간의 습관적인 실수를 악용하여 심각한 보안 위협을 초래한다. 타이포스쿼팅을 통한 악성 도메인의 변화와 은폐 기술에 신속히 대응하고, 정확하게 탐지하여 보안 위협을 최소화하는 것이 목표이다. LSTM 기반 Deep Learning 모델은 악성코드별 특징을 분석하고 학습하여, 생성된 도메인을 악성 또는 양성으로 자동 분류한다. ROC 곡선과 AUC 정확도를 기준으로 모델의 성능 평가 결과, 99.21% 이상 뛰어난 탐지 정확도를 나타냈다. 이 모델을 활용하여 악성 도메인을 실시간 탐지할 수 있을 뿐만 아니라 다양한 사이버 보안 분야에 응용할 수 있다. 본 논문은 사용자 보호와 사이버 공격으로부터 안전한 사이버 환경 조성을 위한 새로운 접근 방식을 제안하고 탐구한다.

• 한국멀티미디어학회논문지
• /
• 제23권5호
• /
• pp.641-649
• /
• 2020

As the usage of mobile devices extremely increases, malicious mobile apps(applications) that target mobile users are also increasing. It is challenging to detect these malicious apps using traditional malware detection techniques due to intelligence of today's attack mechanisms. Deep learning (DL) is an alternative technique of traditional signature and rule-based anomaly detection techniques and thus have actively been used in numerous recent studies on malware detection. In order to develop DL-based defense mechanisms against intelligent malicious apps, feeding recent datasets into DL models is important. In this paper, we develop a DL-based model for detecting intelligent malicious apps using KU-CISC 2018-Android, the most up-to-date dataset consisting of benign and malicious Android apps. This dataset has hardly been addressed in other studies so far. We extract OPcode sequences from the Android apps and preprocess the OPcode sequences using an N-gram model. We then feed the preprocessed data into LSTM and apply the concept of Information Gain to improve performance of detecting malicious apps. Furthermore, we evaluate our model with numerous scenarios in order to verify the model's design and performance.

• 융합보안논문지
• /
• 제14권4호
• /
• pp.19-26
• /
• 2014

모바일 악성코드는 웜에 의한 전파가 대표적이며, 웜의 확산 특징을 분석하기 위한 모델링 기법들이 제시되었지만 거시적인 분석만 가능하였고 특정 바이러스, 악성코드에 대해 예측하기는 한계점이 있다. 따라서 본 논문에서는 과거의 악성코드 데이터를 활용하여 미래의 악성코드의 발생을 예측 할 수 있는 마코프 체인을 기반으로 한 예측 방법을 제시하였다. 마코프 체인 예측 모델링에 적용할 악성코드 평균값은 전체 평균값, 최근 1년 평균값, 최근 평균값(6개월)의 세 가지 범위로 분류하여 적용하였고, 적용하여 얻어진 예측 값을 비교하여 최근 평균 값(6개월)을 적용하는 것이 악성코드 예측 확률을 높일 수 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.881-891
• /
• 2023

최근에는 인공지능을 활용하여 악성 URL을 탐지하는 다양한 연구가 진행되고 있으며, 대부분의 연구 결과에서 높은 탐지 성능을 보였다. 그러나 고전 머신러닝을 활용하는 경우 feature를 분석하고 선별해야 하는 추가 비용이 발생하며, 데이터 분석가의 역량에 따라 탐지 성능이 결정되는 이슈가 있다. 본 논문에서는 이러한 이슈를 해결하기 위해 URL lexical feature를 자동으로 추출하는 딥러닝 모델의 일부가 고전 머신러닝 모델에 결합된 형태인 DL-ML Fusion Hybrid 모델을 제안한다. 제안한 모델로 직접 수집한 총 6만 개의 악성과 정상 URL을 학습한 결과 탐지 성능이 최대 23.98%p 향상되었을 뿐만 아니라, 자동화된 feature engineering을 통해 효율적인 기계학습이 가능하였다.

• 융합보안논문지
• /
• 제14권5호
• /
• pp.37-47
• /
• 2014

악성코드 중 가장 많은 비율을 차지한 것은 트로이 목마이며, 트로이 목마의 경우 그 자체로 피해를 주는 형태가 주종을 이루었지만, 최근에는 백도어 방식으로 사용자 정보를 몰래 빼오는 형태가 많아지고 있으며, 트로이 목마의 특성을 갖고 있는 웜이나 바이러스가 증가하고 있는 추세이다. 웜의 확산 특징을 분석하기 위한 모델링 기법들이 제시되었지만 거시적인 분석만 가능하였고 특정 바이러스, 악성코드에 대해 예측하기는 한계점이 있다. 따라서 본 논문에서는 과거의 Trojan 데이터를 활용하여 미래의 Trojan 악성코드의 발생을 예측 할 수 있는 ESP모델을 제시하였다. 이 모델을 적용하여 얻어진 예측 값을 마코프 체인과 비교한 결과 제안한 모델이 기존 발생한 실제 빈도수와 유사한 값을 나타냄을 알 수 있었다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.617-623
• /
• 2018

본 연구는 안드로이드 정적분석을 기반으로 추출된 AndroidManifest 권한 특징을 통해 악성코드를 탐지하고자 한다. 특징들은 AndroidManifest의 권한을 기반으로 분석에 대한 자원과 시간을 줄였다. 악성코드 탐지 모델은 1500개의 정상어플리케이션과 500개의 악성코드들을 학습한 SVM(support vector machine), NB(Naive Bayes), GBC(Gradient Boosting Classifier), Logistic Regression 모델로 구성하여 98%의 탐지율을 기록했다. 또한, 악성앱 패밀리 식별은 알고리즘 SVM과 GPC (Gaussian Process Classifier), GBC를 이용하여 multi-classifiers모델을 구현하였다. 학습된 패밀리 식별 머신러닝 모델은 악성코드패밀리를 92% 분류했다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.439-446
• /
• 2022

웹사이트나 메일의 첨부 파일을 이용해 문서형 악성코드의 유포가 활발하게 이루어지고 있다. 문서형 악성코드는 실행 파일이 직접 실행되는 것이 아니므로 보안 프로그램의 우회가 비교적 쉽다. 따라서 문서형 악성코드는 사전에 탐지하고 예방해야 한다. 이를 탐지하기 위해 문서의 구조를 파악하고 악성으로 의심되는 키워드를 선정하였다. 문서 내의 스트림 데이터를 아스키코드값으로 변환하여 데이터셋을 만들었다. CNN 알고리즘을 이용하여 문서의 스트림 데이터 내에 존재하는 악성 키워드의 위치를 확인하고 인접 정보를 활용하여 이를 악성으로 분류했다. 파일 내의 스트림 단위로 악성코드를 탐지한 결과 0.97의 정확도를 보였고, 파일 단위로 악성코드를 탐지한 결과 0.92의 정확도를 보였다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제4권4호
• /
• pp.169-176
• /
• 2015

최근 스마트폰 시장의 빠른 성장과 함께, 애플리케이션 시장 또한 크게 성장하고 있다. 애플리케이션은 날씨, 뉴스와 같은 정보검색을 비롯하여 교육, 게임, SNS 등 다양한 형태로 제공되고 있으며 다양한 유통경로를 통해 배포되고 있다. 이에 따라 일상에서 유용하게 사용할 수 있는 애플리케이션뿐만 아니라 악의적 목적을 가진 악성 애플리케이션의 배포 역시 급증하고 있다. 본 연구에서는 오픈마켓을 통해 배포되고 있는 정상 애플리케이션 및 Android MalGenome Project에서 제공하는 악성 애플리케이션의 이벤트를 추출, 분석하여 임의의 애플리케이션의 악성 여부를 판별하는 모형을 작성하고, 여러 가지 지표를 통해 모형을 평가하였다.

• 정보보호학회논문지
• /
• 제30권2호
• /
• pp.197-212
• /
• 2020

가상 화폐와 전자 지갑의 등장으로 익명성을 기반으로 금전적 이득을 취할 수 있는 방법이 생김에 따라, 악성메일을 이용한 피싱과 악성코드의 전파가 지속적으로 증가하고 있다. 이에 대한 피해를 최소화하기 위해서는 인적 요소인 보안인식과 기술적 요소인 대응 능력을 고루 향상시켜야 하며, 이는 실전과 같은 악성메일 대응 훈련을 통해 향상될 수 있다. 본 연구에서는 실전과 같은 악성메일 훈련 수행을 고려한 모델을 제시하였다. 임직원들의 보안인식 향상을 위한 인식 제고 훈련과 악성메일 침투에 대한 대응 능력을 향상시키기 위한 탐지 및 대응 훈련으로 분류하여 목적에 맞는 훈련 시스템, 훈련용 악성코드의 주요 기능, 구현 및 위장 기법, 기술적 대책 우회 기법에 대해 서술하였다. 이 모델을 바탕으로 3년간 수행한 훈련 데이터를 수집하였으며, 훈련횟수, 훈련테마, 위장기법에 따른 결과 분석을 통해 훈련의 효과성을 연구하였다.